В Google обнаружили приложение: ворует пароли и банковские данные

В Google обнаружили приложение: ворует пароли и банковские данные

Специалисты заметили вариант трояна AZORult, который маскируется под приложение Google Update и заменяет официальную программу вредоносной версией

AZORult — это инфостилер, который также может действовать как загрузчик для другого вредоносного ПО. Троян предназначен для кражи как можно большего объема конфиденциальной информации: от файлов, паролей, cookie-файлов и истории посещения в браузере до банковских учетных данных и криптовалютных кошельков пользователей.

Исследователи получили от одного из своих клиентов на первый взгляд легитимный исполняемый файл GoogleUpdate.exe, подписанный действительной цифровой подписью. Как оказалось при ближайшем рассмотрении, на самом деле файл был подписан сертификатом, выданным компании «Singh Agile Content Design Limited» вместо Google.

В ходе анализа специалисты компании Minerva Labs смогли идентифицировать вредоносный файл в фальшивом файле Google Update как троян AZORult на основе нескольких признаков: отправка запроса HTTP POST к /index.php с домена в альтернативной зоне .bit и использование Mozilla/4.0 User-Agent.

Помимо основного функционала, новый вариант AZORult обладает дополнительной возможностью маскироваться под программу Google Updater (C:\Program Files\Google\Update\GoogleUpdate.exe). Таким образом троян может работать с привилегиями администратора и сохранять присутствие на системе без необходимости модификации реестра Windows или добавления задач в планировщик.

Ранее сообщалось, что пользователям угрожает новый вирус, который действует по очень необычному принципу. Так, специалисты из компании Menlo Security зафиксировали волну кибератак на финансовые компании и организации из IT-сектора. Захват контроля над компьютером пользователя осуществляется постепенно с использованием уязвимостей программы Microsoft Word.

Зараженные документы присылаются пользователям по электронной почте. Большинство таких посланий рассылается в крупные компании. Во вложениях есть файлы с расширением docx. Внутри этих вложений присутствуют теги HTML с зараженными элементами.

Напомним, как определить владельца сайта: эксперты подготовили ответ.

Как сообщалось ранее, СБУ дала бой путинским хакерам в Днепре.

Также Politeka писала, что старые iPhone превратились в добычу для хакеров.

материалы рубрики
Началось: сразу 8 астероидов летят к Земле, НАСА сделало внезапное предупреждение Технологии
Началось: сразу 8 астероидов летят к Земле, НАСА сделало внезапное предупреждение